Discussion :

[juju26]

La procédure d'émission des certificats publics OV Code Signing va changer à partir du 15 novembre 2022

Selon le régulateur de l'industrie SSL CA/B Forum, à partir du 15 novembre 2022, les clés privées pour les certificats OV Code Signing devront être stockées sur des dispositifs répondant aux normes de sécurité FIPS 140 niveau 2, Common Criteria EAL 4+ ou équivalentes.

Cette nouvelle exigence signifie que les autorités de certification (CA) ne peuvent plus prendre en charge la génération de clés et l’installation de certificats basées sur un navigateur ou tout autre processus incluant la création d’une demande de signature de certificat (CSR) et l’installation de votre certificat sur un ordinateur portable ou un serveur. Les clés privées et les certificats doivent être stockés et installés sur des jetons ou des HSM (modules de sécurité matérielle) certifié au moins FIPS 140-2 Niveau 2 ou Critères communs EAL 4+.

En conséquence, la protection de la clé privée sera renforcée et portée au niveau de l'EV (Extended Validation). Toutes les parties techniques de la délivrance d'un certificat de signature de code seront effectuées du côté de l'autorité de certification (CA).

Les modifications apportées à la délivrance de la signature de code OV affecteront tous les certificats émis, réémis ou renouvelés à partir du 15 novembre 2022.

Par conséquence, pour utiliser un certificat de signature de code stocké sur un token/HSM, l'utilisateur devra avoir un accès physique à ce dispositif, ainsi que des informations d'identification pour utiliser le certificat. Pour signer son code, l'utilisateur devra connecter le jeton/HSM avec le certificat à l'ordinateur, puis utiliser un mot de passe unique pour une sécurité supplémentaire.


Que pensez-vous de cette nouvelle décision ?

[gangsoleil]

Bonjour,

Je ne suis pas certain de voir quel type de problème cela pourrait poser. Ça me semble normal que les clés privées soient stockées de manière sécurisée, et pas dans un pauvre fichier texte "bien caché dans un répertoire"

[juju26]

A ce que j'ai compris, il ne sera plus possible de mémoriser la clé privée dans le magasin de certificats Windows (pour ma part sans export possible de la clé privé pour + de sécurité) mais uniquement une clé physique à brancher + identification à chaque signature comme les certificats EV

Donc deux problèmes que je vois :
- Augmentation des coûts
- Difficulté à automatiser la signatures de plusieurs composants à la chaine.... car cela va nécessitée l'obligation d'insérer la clé + saisir le mot de passe de déchiffrage de la clé privée à chaque composant signé.

Peut être que je fais erreur, mais le revendeur de certificats nous à alerté sur ces points.
S'il en a qui signe avec des certificats EV (vu les prix) comment cela se passe t'il avec les dongles de sécurité ?

[juju26]

Avez vous vu l'augmentation des prix des certificats OV ?
Prix multiplié par 5 !

Le certificat OV (chez httpc) passe de 211 € à 1008 € !

Pour ceux qui distribue du Free, ça fait plus que mal
Y'a de l'abus quand même pour un dongle à 50€